长文预警: 在本文中,我们将训练一个在训练期间完全加密的神经网络(在未加密的数据上进行训练)。这将为神经网络带来两个有益的特性:首先,神经网络的智能可以受到更好的保护以免被他人盗取,消除了在不安全环境下训练的有价值的AI被其他智能盗取的风险;其次,网络可以只作加密的预测(这意味着在没有密钥的情况下,外界无法理解接受预测,从而网络对外界不会产生影响)。这在用户和超人工智能间建立了一个非常有价值的不对等权力。试想,如果AI是经过同态加密处理的,那么从AI的角度来看,整个外部世界也是同态加密过的。而人类可以控制密钥从而决定是解锁AI自身(在外部世界发布)还是只解码AI作出的决策(似乎显得更安全)。
注: 如果你对训练加密的神经网络感兴趣,可以参考OpenMined的PySyft库
超级智能很多人担心超人工智能总有一天会选择伤害人类。之前,史蒂芬·霍金曾呼吁建立一个新的世界“政府”来管理我们给予人工智能的能力以免其毁灭人类。这个陈述是很大胆的,我认为它反映了科学界以至全世界共同关心的问题。在本文中,我将用一些玩具性质的代码来演示针对这个问题的潜在技术解决方案。
我们的目标很朴实。我们像发明一个可以让AI变得极度聪明(聪明到可以治愈癌症,解决全球饥饿问题)的技术,不过前提是这样的智能是在人类的控制下的,即它的应用是受限的。无止境地学习固然是好的,但是知识的无限制应用却有着潜在的危险。
为了阐述这一观点,我将首先快速讲解两个振奋人心的研究领域:深度学习和同态加密。
第1部分:什么是深度学习?深度学习可以理解为人工智能的一套自动化工具,主要借助与神经网络。作为计算机科学的领域之一,深度学习在很多智能任务的完成质量上超越了之前的技术,这促使了AI技术的繁荣。在这一背景下,在击败世界围棋冠军的DeepMind的AlphaGo中深度学习也扮演了重要角色。
问题: 神经网络是怎样学习的呢?
神经网络基于输入进行预测。它通过不断地试验来高效地做到这一点。这个过程从一个预测开始(起初很大情况下是随机的),之后通过接受到的“误差信号”来判断它的预测是高了还是低了(通常预测的输出为概率值)。在经过很多次尝试之后,网络开始具有了辨识能力。关于神经网络工作的具体细节,可以参阅A Neural Network in 11 Lines of Python。
这里的重点是上面提到的误差信号。如果说网络不知道自己的预测的水平如何,它就无法进行学习,,要牢记这一点。
第2部分:什么是同态加密?顾名思义,同态加密是一种加密形式。在不对称的情况下,可以用“公钥”将明文转化为乱码。关键的一点是,你可以用对应的“私钥”将加密后的文本再次解码为原始的明文。但是只有在你有“私钥”的情况下你才可以解码混淆后的明文(理论上)。
同态加密只是一种特殊的加密方式。它支持某些用户在不具有原有信息读权限的情况下对加密信息进行修改操作。举个例子来说,加密的数字信息可以在不解码的情况下进行乘法和加法操作。下面给出一个简单的例子:
现在同态加密的方案越来越多,每个方案都有着不同的特性。不过这还是一个成长中的领域,还有很多关键的问题仍待解决,我们后面会再回到这个问题上讨论。
现在我们先延续上面的内容进行讲解,从上图可以看出我们可以在经过同态加密的数据上进行乘法和加法操作。此外由于公钥可以进行单向加密,这使得我们可以用加密的数字和未加密的数字进行相应操作(对未加密的数据进行单向加密),正如上图中的 2 * Cypher 一样。(一些加密算法甚至不需要这样做,我们后面再谈)
第三部分:我们可以把两者结合使用吗?深度学习和同态加密最常见的结合场景主要体现再数据隐私方面。事实证明,当数据经过同态加密之后,虽然不能够读取其中的信息,但是你仍然可以保持数据中大部分感兴趣的统计学结构。这使得人们可以在加密数据上训练模型(CryptoNets)。此外,初创对冲基金会Numer.ai加密了昂贵,专有的数据来提供给任何人训练机器学习模型来预测股票市场。通常来说,他们是不能这样做的,因为这构成了珍贵/私密数据的泄漏(而常规的加密手段又会使模型训练变得不可能)。
不过,本文要做的是一个反向的过程,即对神经网络进行加密并在解码的数据上进行训练。